2019年10月17日發生了全台 ATM跨行提款服務中斷事件,原因是因為一名外包廠商工程師於定期維修時誤觸內部網路線,造成系統當機,導致 ATM跨行服務一度中斷,許多民眾因而無法正常使用 ATM進行跨行提款服務。而去年也發生過大型主機連線管理系統程式發生異常,導致全台灣的 ATM、網銀跨行交易都中斷,當機了將近 2個小時的事故。
據金管會資料所述,截至今(2019)年 8月底,全台ATM數量已來到 30,086台。若以全台 2,300萬人口計算,平均 764人就擁有一台 ATM,高密度可謂全球第一。而享受便利性的同時,設備維運相關的資訊安全議題也悄悄誕生。
妥善控管委外服務供應商(下簡稱供應商)資安議題
供應商是一常見資安威脅來源,企業運作無論在環境清潔、影印機或是 ERP系統維運,難以避免使用到供應商的服務,供應商人員進入公司內提供服務,甚至接觸關鍵系統或機敏資料自然須加以控管。如同本文 ATM案例,外包廠商誤觸線路而造成全台 ATM跨行服務無法正常運作,如果未做好雙方流程及風險控管,簽訂合約前少了權責訂定及緊急應變措施的考量,可能有損客戶權益及我方商譽,甚至遭主管機關開罰,不利企業競爭力。
供應商潛在之資安威脅
- 雙方資安政策未做通盤考量。
- 供應商人員資安意識薄弱。
- 合約未訂明責任歸屬。
- 服務變更時未考量潛在風險。
參考 ISO 27001資訊安全管理系統
由於供應商對企業資訊安全良窳有重大影響,故 ISO 27001將供應商管理特別單獨列在附錄 A15中,當中提及供應商控管之重 點在於確保雙方認知一致、權責訂定清楚,並須以白紙黑字的方式羅列,以利供應商依循合約進行後續服務交付,確保雙方權益,相關考量重點羅列如下:
- 流程風險識別,擬定委外安全要求。
- 確保供應商資安認知與我方一致。
- 釐清雙方資安事件/事故之責任。
- 明訂法遵要求,智慧財產權、著作權之授權、轉讓。
- 擬定服務水準之監督及現場稽核之權利。
供應商資安管控攸關企業競爭力
綜上所述,雖然企業已花費許多心力、資源於客戶關係管理上。倘在供應商管理上沒有適當的控管,就產生弱點破口。若供應商因疏失,導致我方服務或產品對客戶產生受損,如同本文 ATM無法正常跨行提款,大眾大多不會因為是供應商之疏忽而諒解我方,我方商譽也將連帶受損。反之,若能在一開始就做好供應商資安意識、權責釐清及白紙黑字的合約訂定,將有助企業競爭力的建立及持續提升。
-
想了解如何導入 ISO 27001,快與領導力企管聯繫
免費諮詢:0800-222007/ service@isoleader.com.tw
COMMENTS